服务器禁用UDP出口导致无法ping通域名

4.3
(4)

今天,发生了一件乌龙事件。昨晚服务器被人通过UDP方式ddos攻击,ip太多了,看不过来。用Wireshark分析了阿里给的攻击日志(日志后缀为cap文件),ip超多。想着能不能通过禁用UDP入口和出口,来达到防止这种udp方式的ddos攻击。接下来,就发生了今天的乌龙事件。

服务器禁用UDP出口导致无法ping通域名

首先,我通过阿里云APP设置了禁止UDP入口,即安全组规则新增如下内容:

规则方向:入方向

授权策略:拒绝

协议类型:UDP

端口范围:1/65535

授权对象:0.0.0.0/0

授权类型:地址段访问

看了看网站,还可以正常访问。随之,我又增加了一条禁止UDP出口的规则,即规则方向为出方向,其他同上。添加完后,我发现我竟然看不到规则,又重复添加了下,还是看不到规则。(乌龙时间起使点)

我又访问了下网站,还是正常的。但是,我访问wordpress后台,却很长时间上不去了。接着,我到阿里云app那里,提示我无法链接到云监控,连cpu内存等的占用情况都看不到了。过了会,直接提示云监控已断开链接。

接着,我ssh登录服务器终端,发现可以ping通ip,缺无法ping通域名了。这个时候,我就怀疑是规则出了问题,可能dns解析跟udp有关系。

想办法加白名单吧,我服务器上查了下阿里云的监控相关及dnf解析相关,都是100.100开头的ip。

然后增加了如下白名单,允许100.100.0.0/16访问udp服务。竟然还是没有用。

没办法,我删掉了刚才添加的规则(禁止UDP入口和白名单规则),发现还是不行。眼看就到下班点了,就联系了阿里云客服。等了大概一个小时(可能他们也没想到会有这么蠢的用户,也找了半天我的问题吧)。整个对话结果如下:

我:我在服务器终端ssh,无法ping网站了,只能ping本地 可能是因为下午我设置了安全组,禁止所有udp通讯导致,我已经删了相关安全规则 现在还是不行,而且我连wordpress后台都进不去了 帮帮忙

我:详情可以看附件,我的wordpress后台也登不进去了。 然后,ip都能ping通,就是所有域名都ping不通了。

阿里:您好 您的问题我们已经在为您处理,该问题处理需要一些时间,请您耐心等待

阿里:您好 您将您的内网出方向 网络安全组策略删除后测试一下

我:这个我今天下午就删了的,我知道是它的问题。但是我已经删掉了

我:抱歉,刚删掉

我:原来有入跟出两个方向,我说怎么记得我加了个禁止出口,结果看不到。电脑上,刚才仔细找了下,看到了

我:一切都正常了,谢谢啦。我是看到昨晚被攻击导致黑洞。 想着通过禁用UDP来,防止攻击,没想到闹了个乌龙 谢谢,话说是不是可以通过禁用udp,来防止udp方式的ddos,求解答

阿里:您好 DDOS 攻击原理是 TCP SYN攻击 通过网络层面的限制和系统的防护软件是无法防御的 这个只能通过高防产品 引流来抗大流攻击到高防IP 上来防御

我:好,谢谢

我:请问,服务器关机能抵御吗,我感觉今晚十一点还得被打。

阿里:您好关机可以防御

是不是很乌龙的事件,最后我只禁用了UDP的入口,目前还看不出来bug。据阿里客服所说,网络层面的限制和系统的防护软件对DDOS攻击无效(TCP SYN攻击),cc的话,一定程度上,软件有效。而这次我遭遇的攻击,我服务器上没有任何日志(可能攻击在网页应用层下一层吧)。

下面几张图,分别是服务器无法ping通域名,可以ping通ip;乌龙时间是因为我在看规则时,忘记切换入口跟出口,导致没看到出口的规则。

服务器禁用UDP出口导致无法ping通域名

服务器禁用UDP出口导致无法ping通域名

最后,在给大家看看这种UDP攻击的日志(阿里云后台可以下载,在Dos基础防护那里,找到自己的服务器,可以看到证据下载,文件格式为cap文件,需要用wireshark等抓包工具才能打开分析)

服务器禁用UDP出口导致无法ping通域名

服务器禁用UDP出口导致无法ping通域名

这种攻击着实可怕。由于dns解析基于UDP服务,因此拒绝UDP出口,就导致无法解析域名,无法ping域名。甚至,wordrpess后台都无法访问了。

共计4人评分,平均4.3

到目前为止还没有投票~

很抱歉,这篇文章对您没有用!

让我们改善这篇文章!

告诉我们我们如何改善这篇文章?

原创文章,作者:古哥,转载需经过作者授权同意,并附上原文链接:https://iymark.com/articles/1557.html

(0)
微信公众号
古哥的头像古哥管理团队
上一篇 2021年01月26日 20:23
下一篇 2021年01月28日 20:23

你可能感兴趣的文章

发表回复

登录后才能评论
微信小程序
微信公众号